¿El "VPN" y la "Fijación de certificados" tienen un propósito diferente?

Question

¿El "VPN" y la "Fijación de certificados" tienen un propósito diferente?

#1 de Kevin Yu (0 votos)

0

Tengo una aplicación móvil (ioS) que solo ciertos usuarios pueden usar, y está codificada de tal manera que solo podrían iniciar sesión usando una VPN segura (con tokens) para acceder a nuestros servidores de red internos para la recuperación de datos. .

Mi auditor solicita que, de acuerdo con las buenas prácticas, todo el desarrollo de aplicaciones móviles intente incorporar la fijación de certificados.

Me gustaría desafiar ese argumento: usar VPN con múltiples factores es, en mi opinión, suficiente porque ambos son métodos de autenticación y nos permiten saber quién está realmente usando la aplicación. Mi aplicación móvil no es una aplicación basada en Internet y el servidor de base de datos del cual la aplicación recuperará los datos se encuentra alojado internamente.

Por lo tanto, mi pregunta es: ¿Las conexiones de VPN y Cert tienen diferentes propósitos o son aproximadamente equivalentes?

tls mobile

pregunta dorothy 03.02.2015 - 16:12

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls mobile

Proxpy- problema de certificado La consola de Metasploit Framework escribe incorrectamente el texto

score 0 · Accepted Answer

aquí hay varios escenarios para pensar.

A) El usuario pierde el dispositivo móvil. El certificado anclado solo protege el teléfono tanto como la contraseña incorporada.

1) el usuario pierde el dispositivo a la parte interna maliciosa. Sin una contraseña de iOS, un tercero se conecta a la red con los usuarios de las credenciales de NT / LDAP
2) el usuario pierde el dispositivo a la parte externa. La contraseña segura protege el dispositivo perdido

B) El usuario pierde dispositivo móvil. La VPN no puede ser utilizada por nadie más, porque el token todavía está adjunto al usuario.

1) El token de VPN se pierde con el dispositivo: el administrador revoca el token
2) El token se conserva: el token está vinculado a otro dispositivo

C) Limitado por la autenticación de huellas digitales en iOS.

     1) El certificado anclado continuaría funcionando como se espera
     2) El token VPN sirve como otra capa de protección
       -------------
C2 serviría bien para el gobierno y donde se requiere seguridad absoluta
C1 usaría en Banca, Finanzas, Salud
B2 se encuentra en Educación, Investigación, Fabricación

B1 y superior son los peores escenarios. Planea no tenerlos.